发布日期：2002-10-06
更新日期：2002-10-08

受影响系统：

Oracle Oracle 9i Application Server 9.0.2
    - Microsoft Windows 2000 SP3

描述：

---

BUGTRAQ  ID: 5902
CVE(CAN) ID: CVE-2002-0386

Oracle 9i应用服务器基于Apache Web服务器，支持SOAP、PL/SQL、XSQL、JSP等环境。允许通过WEB访问模块远程管理。

Oracle 9i应用服务器的WEB管理模块对用户请求缺少正确处理，远程攻击者可以利用这个漏洞进行拒绝服务攻击。

Oracle 9i应用服务器WEB缓冲管理模块在Windows平台上又称为WEB缓冲管理工具，如果恶意攻击者发送定制的恶意的请求给WEB缓冲管理进程监听的端口，管理进程就会因崩溃而导致拒绝服务攻击。

这个漏洞只存在于Windows操作系统下。注意这个漏洞也只影响管理进程，不影响缓冲进程。

<*来源：Oracle Security
  
  链接：http://otn.oracle.com/deploy/security/pdf/2002alert43rev1.pdf
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* Oracle对这个漏洞将不提供补丁下载，但是Oralce建议使用路由和网络防火墙对WEB管理端口的访问进行正确限制。

厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（OracleSA#43）但没有提供补丁:
OracleSA#43：Oracle9i Application Server - Web Cache Administration Tool Crash on Malformed Request
链接：http://otn.oracle.com/deploy/security/pdf/2002alert43rev1.pdf

浏览次数：3321
严重程度：0（网友投票）